kxvo(kavo) 웜 바이러스 감염 후 증상

주로 USB 메모리 등의 이동식 저장장치의 Autorun.inf 파일에 의해 자동실행되면서 전파된다.
이 웜 때문에 지난 2주 내내 전화가 빗발쳤다.
회사에서 사용하는 맥머시기는 fool0.dll 파일 치료 메세지만 계속 내보내는 통에 더 번거롭기만 하다.

일일이 파일 속성 변경 후 지우기가 귀찮아 AutoIt 으로 스크립트를 만들었다.

현재 이 파일로 일단 해당 파일들 지우고
웹상에 돌아다니는 kavo_killer 라는 파일로 2차 실행한 후
V3Neo로 점검해 보는데 아직까지는 그런대로 잘 먹힌다.
다운로드 받아 실행하는 게 싫다면 여기를 눌러 바이러스 체이서 온라인 검색/치료 사이트에서 치료해도 된다.

워낙 변종 파일명이 많아, 보이는 족족 스크립트에 추가해줘야 해서 역시 허접한 스크립트다.

위 증상 중 4번의 경우는 이 바이러스로 인한건지 확실치 않다.
그런 증상을 보이는 컴퓨터에서는 이 파일로 지우고 난 후에도 시스템이 원활하지 않다.

스크립트 파일 실행 후 뜨는 prevx 란 프로그램은,
kavo 관련 검색 도중 알게된 것인데 홈페이지에 가보니 변종 파일명이나 설명 등이 상당히 자세히 나와있어
신뢰가 가길래 붙여놨다. Virscan.org 사이트에도 채택된 엔진으로 믿을만해 보인다.
치료가 불가한 free 버전이므로 검색만 해보고 감염 결과가 나오면 파일을 수동 삭제해야 한다.

스크립트로 삭제되는 파일과 레지스트리 목록은 밑의 원본 스크립트 파일(.au3)을 메모장으로 열어보면 알 수 있다.


삭제 레지스트리 중 "{CE7C..."가 포함되는 키는 밑의 참조 페이지 중 한 곳의 내용을 보고 넣은건데 아무래도
PC 마다 유동적인 것 같다.

AutoIt 스크립트 작성은 usboffice 커뮤니티의 Zasfe님의 도움을 받았다.

참조글
http://www.nprotect.com/service/kepad/virus_view.html?mode=&no=799
http://bumis.cafe24.com/tt/NaturalLaw/entry/nndelectcom-과-codelectcom-그리고-dxvoexe
http://v.chol.com/info_virus_view.asp?list=/virus_info_list.asp&seq=12868
http://blog.naver.com/nologout/47615320
http://kr.ahnlab.com/info/smart2u/virus_detail_12288.html
http://www.prevx.com/filenames/X289967154020299796-X1/KXVO.EXE.html
http://www.prevx.com/filenames/80865900421147235-X1/FOOL0.DLL.html
http://doubleso.egloos.com/1348931
http://blog.naver.com/lunarhorizon?Redirect=Log&logNo=100047080704
http://ssaybch.egloos.com/1186999
http://blog.naver.com/amitasia/120046490514
http://blog.naver.com/pointman79/140045649453